Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html 1 de 18 01/12/2007 1:11 Fortigate - VPN IPSEC VPN con IPSEC , En este procedimiento se explica cómo configurar una VPN usando IPSec para conectarse con un PC cualquiera desde internet a la LAN de la organización. Todo el tráfico iría encriptado mediante IPSec. Para conectarnos a la VPN lo haremos mediante el software "FortiClient". Se explican dos partes: - Configuración del firewall - AKI - Instalación, configuración y conexión del cliente VPN en un puesto - AKI Configuración de la VPN en el Fortigate, Bueno, lo primero de todo, para configurar el firewall que acepte VPN's y configurarlas de forma segura, nos logeamos en él, vamos en el menú de la izquierda a "VPN" > "IPSEC" y tenemos que crear la primera fase desde "Create Phase 1".
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
1 de 18 01/12/2007 1:11
Fortigate - VPN IPSEC
VPN con IPSEC ,
En este procedimiento se explica cómo configurar una VPN usando IPSec para conectarse con un PCcualquiera desde internet a la LAN de la organización. Todo el tráfico iría encriptado mediante IPSec. Paraconectarnos a la VPN lo haremos mediante el software "FortiClient". Se explican dos partes:
- Configuración del firewall - AKI- Instalación, configuración y conexión del cliente VPN en un puesto - AKI
Configuración de la VPN en el Fortigate,
Bueno, lo primero de todo, para configurar el firewall que acepte VPN's y configurarlas de forma segura, nos logeamos en él, vamos en el menú de la izquierda a "VPN" > "IPSEC" y tenemos que crear la primera fasedesde "Create Phase 1".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
2 de 18 01/12/2007 1:11
Tenemos que configurar todas las siguientes opciones:"Name": le ponemos uno cualquiera, en mi ejemplo "vpnp1"."Remote Gateway": El tipo de conexión que tendremos de entrada, en mi caso para conectarnos desdecualquier PC con el FortiClient es "Dialup User"."Local interface": A que interfaz le entrarán las conexiones, lo normal WAN1 o WAN2, en mi caso "WAN1"."Mode": "Main""Authentication Method": La opción que yo he elegido es ponerle una contraseña común para que seconecten por VPN, con "Preshared Key""Preshared Key": Meto la password que me interesa."Peer options": Indicamos que acepte todos > "Accept any peer ID".- Pinchamos en el botón "Advanced..." para ver más opciones de la conexión.Tenemos dos opciones de conexión segura, elegimos las más seguras, ahora sólo queda que los clientes seancompatibles, en mi caso la primera será "Encryption": "3DES" y "Authentication": "SHA1" y si esta conexiónno fuera posible, la siguiente será: "Encryption": "3DES" y "Authentication": "MD5"."DH Group": Marcamos únicamente "5"."Keylife": Por defecto 28800."XAuth": La habilitaremos pero como servidor, "Enable as server"."Server type": PAP."User Group": Seleccionamos el grupo de usuarios que pueden conectarse a esta VPN, así que todos losusuarios que nos interesen que se conecten los debemos de meter en este grupo (y si no existe, pues lo creamos y metemos a unos usuarios de prueba)."Nat Trasversal": La habilitamos "Enable"."Keepalive Frecuency": 10 que es el valor que viene predeterminado."Dead Peer Detection": También habilitado, "Enable".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
3 de 18 01/12/2007 1:11
Una vez que tenemos así los valores aceptamos, damos a "OK".
Bien, ahora falta crear la otra fase, pulsamos sobre "Create Phase 2".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
4 de 18 01/12/2007 1:11
Rellenamos la misma información que hemos metido para la primera fase:"Name": El nombre que querramos, en mi caso para ser como el anterior, le pongo "vpnp2"."Phase 1": Selecciono la que he creado antes, "vpnp1".- Pulsamos sobre "Advanced..."Ponemos la misma encriptación que en la primera fase.Y habilitamos PFS "Enable perfect forward secrecy" y el de "Enable replay detection"."DH Group" lo dejamos sólo con "5" En "Keylife" le dejamos el tiempo que viene predeterminado."Autokey Keep Alive" lo habilitamos."DHCP-IPsec" también para usar un servidor DHCP de la red.Damos a "OK".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
5 de 18 01/12/2007 1:11
Bien, ahora debemos crear una regla para permitir estas conexiones VPN de Internet a nuestra LAN. Para ello, vamos a "Firewall" > "Policy" > Y pulsamos sobre "Create New".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
6 de 18 01/12/2007 1:11
En "Source" tenemos que poner a donde queremos que vaya la encriptación de la VPN, o sea el destino (¿?),en mi ejemplo sería "internal"."Address Name: all"En "Destination" desde donde vendrá la conexión, en mi ejemplo todo viene por la "wan1"."Address Name: all"Siempre queremos que esté operativo: "Schedule: always".Que funcionen todos los protocolos, que pase todo el tráfico por la VPN, así que en "Service" indicamos"ANY".Y la diferencia es que en "Action" tenemos que poner "IPSEC" para que creé un tunel seguro.En "VPN Tunnel" indicamos cual es nuestra primera fase, en mi caso era "vpnp1" y marcamos los dos checks de "Allow inbound" y "Allow outbound" para que haya trafico tanto entrante como saliente por la VPN, osea, que el que se conecte pueda acceder a recursos de la red y se pueda acceder a él.Damos a "OK".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
7 de 18 01/12/2007 1:11
Comprobamos que está en las reglas de "internal -> wan1" y en "Action" pone "ENCRYPT".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
8 de 18 01/12/2007 1:11
Bien, ahora lo que hay que hacer es configurar el servicio DHCP (esto es opcional, si queremos que cuando alguien se nos conecte le asigne una dirección IP o no, si no, lo podemos configurar desde el clienteVPN). Si
queremos configurarlo, sería, desde "System" > "DHCP" > En "wan1" > "Servers" y le damos al .
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
9 de 18 01/12/2007 1:11
Vale, vamos a crear un servidor DHCP para la interfaz "wan1" pero sólo para conexiones VPN (IPSEC):"Name" le indicamos un nombre, por ejemplo: ServerDHCPvpnPor supuesto que tiene que estar habilitado, así que marcar el check de "Enable".En "Type" ponemos que sea "IPSEC".En "IP Range" decimos cual será el rango IP que se les asignará a los usuarios cuando se conecten. Lesponemos la mascara de red en "Network Mask" y una puerta de enlace (opcional), en "Domain" simplemente es el dominio que se supone que está en la red.En "Lease Time" es el tiempo que le durará esta asignación IP y cuando le caduque si él no está disponible yllega otra petición IP se la asignará a este nuevo."DNS Server 1", son los servidores que le resolverán los nombres, ponemos servidores DNS de nuestra LAN.Damos a "OK".
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
10 de 18 01/12/2007 1:11
Comprobamos que ya sale ahí nuestro servidor DHCP y está habilitado. Bien toda la configuración en elFirewall ya está realizada, ahora nos queda la parte del cliente.
Instalación, configuración y conexión del cliente VPN en un puesto mediante FortiClient,
En esta parte se explica cómo instalar el cliente VPN llamado FORTICLIENT y configurarlo para conectarnos ala VPN. Lo primero de todo será descargarlo de la web http://www.fortinet.com o de AKI.
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
11 de 18 01/12/2007 1:11
Vale, lo primero, es una instalación facil, un asistente. Pulsamos en "Next",
Sí, aceptamos la licencia, damos a "Next",
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
12 de 18 01/12/2007 1:11
Ojo!! no haremos una instalación completa, ya que eso nos instalará hasta un antivirus y si tenemos dosantivirus en el mismo PC ya se sabe lo que pasa, se bloquea el PC. Así que instalación personalizada,"Custom" y "Next",
Sólo seleccionamos "IPSec VPN" para conectarnos por la VPN bastaría, damos a "Next",
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
13 de 18 01/12/2007 1:11
E "Install" para que comience a instalar...
...
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
14 de 18 01/12/2007 1:11
Vale, un par de segundos y ya tenemos el cliente VPN instalado, "Finish",
Para que el cliente VPN funcione bien, hay que reiniciar, es obligatorio, así que cuando se pueda se reinicia.
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
15 de 18 01/12/2007 1:11
Una vez reiniciado el PC, podemos abrir el FortiClient ya, desde él, pinchamos en el botón de "Advanced>>>" > "Add..." para crear una conexión VPN.
Le ponemos un nombre a la conexión, y podemos decirle si la configuración IP es automatica o manual, si yahemos configurado un servidor DHCP en el firewall podemos poner "Automatic", si no, "Manual" y poner unaconfiguración de red para que trabaje con la interfaz "internal". En "Authentication Method" elegimos"Preshared Key", esta será la que pusimos antes en la configuración de la fase1 en el firewall. Damos"Advanced..."
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
16 de 18 01/12/2007 1:11
Marcamos XAuth "eXtended Authentication" y en Remote Network le ponemos cual es la red remota a la que se va a conectar (el rango). Damos a "OK".
Con esto ya está, ahora sólo queda conectarse, para ello pulsamos al botón de "Connect" y esperar a que seconecte...
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
17 de 18 01/12/2007 1:11
Nos pedirá usuario y contraseña para conectarse, ya que antes hemos puesto a la hora de configurar la fase1que a esta VPN sólo se puedan conectar los usuarios del grupo "GrupoVPNssl", metemos el usuario y elpassword de un usuario perteneciente a tal grupo y damos a "OK", podemos decirle que recuerde lacontraseña marcando el check de "Remember my password".
Vemos que en la barra de herramientas el icono de la red VPN de Forticlient se está conectando...
Fortigate - VPN IPSEC http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html
18 de 18 01/12/2007 1:11
Y para comprobar que estamos conectados en el FortiClient nos pondrá el "Status" que está "Up", y yapodremos trabajar de forma segura por la VPN a los recursos necesarios.
Related Documents
